D_Skywalk escribió:Excelente, bueno todo eso ya creo que lo tenemos lo que necesito es saber que han tocado del LV1 y donde están ahora HVSC_SYSCALL_ADDR y NEW_POKE_SYSCALL_ADDR y si están parcheadas o tenemos que parchear también LV2 para que podamos tocarlo (ya sabéis aquello de dejar el check en un solo byte).
Por cierto, lo he puesto en twitter pero ya subí el git con todos los avances:
http://gitorious.ps3dev.net/irismanager-4-xUn Saludo y si me decís eso (yo aquí no tengo para desencriptar LV1) podemos hacer ya pruebas
Eso que buscas, ¿no es donde se parchea (o parcheaba: vete a saber si se puede ahora, que lo mismo está protegido
) la rutina de LV2 que llamaba a LV1?
Esas direcciones de LV2 en realidad, es donde se alojan las rutinas sys_fs_mkdir() (syscall 811) y sys_fs_rmkdir (syscall 813).
En 4.30 sería:
#define HVSC_SYSCALL_ADDR 0x_80000000001B6428ULL // where above syscall is in lv2
#define NEW_POKE_SYSCALL_ADDR 0x80000000001B6950ULL // where above syscall is in lv2
(esto sale de (BASE_SYSCALL+ 8 *811) y en esa dirección está la dirección que apunta a esas rutinas.
Supongo que eso se usa para restablecer las syscalls luego, por que cómo sea otra cosa
Ahora bien, se supone que en LV1 se hacía un parche (de un solo byte) al formar el firmware para la función 114 (si no recuerdo mal), de LV1 y que éste se mapeaba en la dirección HV_BASE y ahí es donde se dirigía el poke ese para romper el bloqueo...
¿Problema?. Que cómo yo estaba en 3.41 y no me tenía que preocupar por esas cosas, no se que cojones es lo que hacéis en LV1 realmente y en lo que habrá variado ahora.
Dump de LV1 puedes hacer tu mismo si instalas Multiman, pero el problema es que no era código lo que parcheas con el poke, si no una entrada a la tabla que controla los permisos de los mapas de memoria, o algo así, que yo recuerde
EDITO:
Para que se comprenda mejor, ahora que he visto tu antiguo código:
void lv1_poke(u64 address, u64 value)
{
Lv2Syscall2(7, HV_BASE + address, value);
}
int map_lv1(void)
{
int result = lv1_undocumented_function_114(0, 0xC, HV_SIZE, &mmap_lpar_addr);
if (result != 0) {
return 0;
}
result = mm_map_lpar_memory_region(mmap_lpar_addr, HV_BASE, HV_SIZE, 0xC, 0);
if (result) {
return 0;
}
return 1;
}
void patch_lv2_protection(void)
{
// changes protected area of lv2 to first byte only
lv1_poke(0x363a78, 0x0000000000000001ULL);
lv1_poke(0x363a80, 0xe0d251b556c59f05ULL);
lv1_poke(0x363a88, 0xc232fcad552c80d7ULL);
lv1_poke(0x363a90, 0x65140cd200000000ULL);
}
La primera función sirve para hacer poke en la región de LV1 alojada en memoria de LV2 (HV_BASE), pero el parche se realiza a partir de HV_BASE + 0x363a78 cómo dirección fija, pero lo más probable es que ahora el parche haya variado de dirección
![[+risas]](/images/smilies/nuevos/risa_ani3.gif "más risas")
Si la dirección 0x363a78 corresponde con ésta del lv1.elf (3.55)
seg008 000000000035A900 0000000000366D98 R W . . L byte 00000009 public BSS 64
En 4.30 la misma sección sería:
.unknown 0000000000363900 0000000000373D98 R W . . L byte 00000009 public BSS 64
O dicho de otra manera: (0x363a78 - 35A900) = 0x9178, 0x363900 + 0x9178 = 0x36CA78
No es seguro que esa sea la entrada a parchear, por que lo mismo estoy equivocado o han variado cosas, pero 0x36CA78 parece ser la dirección de la entrada en LV1, si sólo ha variado el offset
![[poraki]](/images/smilies/nuevos/dedos.gif "por aquí!")
![[beer]](/images/smilies/nuevos2/brindando.gif "brindis")
![[chiu]](/images/smilies/nuevos2/karateka.gif "karateka")
![[fumeta]](/images/smilies/nuevos2/otrofumeta.gif "fumeteo")
![[buuuaaaa]](/images/smilies/nuevos/triste_ani3.gif "a lágrima viva")
![[sonrisa]](/images/smilies/nuevos/risa_ani1.gif "sonrisa")
![[oki]](/images/smilies/net_thumbsup.gif "Ok!")
![[qmparto]](/images/smilies/net_quemeparto.gif "Que me parto!")
![[plas]](/images/smilies/aplauso.gif "Aplausos")
![[tomaaa]](/images/smilies/nuevos2/tomaa.gif "toma")
![[tadoramo]](/images/smilies/adora.gif "Adorando")
![[fumando]](/images/smilies/nuevos/fumando.gif "fumando")
